Resolución 58/2022, Comunicaciones GOC-2022-833-O90, de 19 de agosto de 2022 (Gaceta Oficial nº 90 Ordinaria de 25 de agosto de 2022)
COMUNICACIONES
GOC-2022-833-O90
RESOLUCIÓN 58/2022
POR CUANTO: La Ley 149 “De Protección de Datos Personales”, de 14 de mayo de 2022, establece los principios, procedimientos y definiciones fundamentales para garantizar a la persona natural el derecho a la protección de sus datos personales que consten en registros, ficheros, archivos, bases de datos u otros medios técnicos de tratamiento de datos, sean físicos o digitales, de carácter públicos o privados.
POR CUANTO: El avance del proceso de informatización de la sociedad y el incremento del tratamiento automatizado de datos personales en el país hacen necesario complementar la legislación vigente en materia de seguridad de las Tecnologías de la Información y la Comunicación, con una normativa que regule los requerimientos de seguridad en el tratamiento de datos personales en soporte electrónico.
POR TANTO: En el ejercicio de las atribuciones que están conferidas en el Artículo 145, inciso d), de la Constitución de la República de Cuba, en relación con el Artículo 24, inciso I), numeral 1, del Anexo Único de la Resolución 1, de 7 de agosto de 2017, del Consejo de Ministros,
RESUELVO
ÚNICO: Aprobar el siguiente:
REGLAMENTO PARA LA SEGURIDAD Y PROTECCIÓN DE LOS DATOS PERSONALES EN SOPORTE ELECTRÓNICO
Artículo 1.
El objetivo del presente Reglamento es establecer los requerimientos para la seguridad y protección de los datos personales en soporte electrónico.
Artículo 2.
Este Reglamento es aplicable a los operadores y proveedores de servicios públicos de Telecomunicaciones y las Tecnologías de la Información y la Comunicación, a los de alojamiento y hospedaje, a los de aplicaciones y a los titulares de redes privadas, así como a los que desarrollan actividades relacionadas con el tratamiento de datos personales en soporte electrónico, en lo adelante, responsables y encargados de registros, ficheros, archivos y bases de datos.
Artículo 3.
De conformidad con lo establecido en la Ley 149 “De Protección de Datos Personales”, se considera tratamiento de datos personales en soporte electrónico a las operaciones y procedimientos sistemáticos que permiten la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y, en general, el procesamiento de datos personales, así como su cesión a terceros a través de comunicaciones, consultas, interconexiones y transferencias, cuando se realizan mediante el uso de las telecomunicaciones y las Tecnologías de la Información y la Comunicación.
Artículo 4.
Los responsables y encargados de registros, ficheros, archivos y bases de datos deben:
a) Garantizar la seguridad y protección de los datos personales en soporte electrónico como parte de la prestación de sus servicios;
b) establecer las medidas técnicas y administrativas necesarias que garanticen un tratamiento de los datos personales en soporte electrónico, conforme a lo establecido en el presente Reglamento y demás regulaciones vigentes; y
c) notificar a las autoridades competentes de la ocurrencia de incidentes de ciberseguridad sobre los datos personales en soporte electrónico bajo su custodia.
Artículo 5.
Los responsables y encargados de registros, ficheros, archivos y bases de datos son los únicos autorizados a gestionar programas o aplicaciones informáticas relacionadas con las bases de datos que contienen datos personales en soporte electrónico.
Artículo 6.
Los responsables del registro, fichero, archivo y base de datos tienen las obligaciones siguientes:
a) Crear las vías para que el titular de los datos personales en soporte electrónico, su apoyo o representante legal pueda acceder, modificar y cancelar estos en el momento en que lo determine, con la mayor brevedad y transparencia posibles;
b) establecer la cancelación de los datos personales en soporte electrónico a solicitud de su titular, su apoyo o representante legal o cuando se haya cumplido el propósito para el cual fueron recopilados, siempre que no se viole lo regulado en ley específica o que estos requieran ser conservados por motivos legales, administrativos, históricos o de otra índole, y adoptar las medidas técnicas necesarias para la supresión de cualquier enlace a estos datos y copia;
c) definir los términos y condiciones referidos al uso de los datos personales en soporte electrónico, que deben ser comprensibles por cualquier usuario y establecer las vías para que confirme su aprobación de acuerdo con las características de la base de datos y del servicio;
d) mantener la confidencialidad e integridad de los datos personales en soporte electrónico y evitar su acceso, modificación o transferencia no autorizada; y
e) garantizar el respaldo de los datos personales en soporte electrónico.
Artículo 7.
Los responsables y encargados solamente pueden hospedar o replicar los registros, ficheros, archivos y bases de datos en soporte electrónico que contienen datos personales en servidores nacionales ubicados en el país, salvo los casos previstos en la ley.
Artículo 8.
Los términos y condiciones de uso del servicio se aplican de acuerdo con lo establecido en la Ley 149 “De Protección de Datos Personales” y las características de la base de datos y del servicio en particular, e incluyen los aspectos siguientes:
a) Informar al usuario el propósito de la recopilación de datos personales al momento de su solicitud, dónde estos son almacenados y el plazo de tiempo por el cual son conservados al cumplir su finalidad;
b) describir las opciones que le permiten al titular de los datos gestionar su privacidad;
c) alertar al usuario sobre el uso de elementos en el sitio web que puedan ser utilizados para rastrear su actividad, como cookies, incluso si son aplicados por terceros;
d) comunicar al usuario con al menos 3 meses de antelación las modificaciones que se realicen al texto de los términos y condiciones, mediante correo electrónico, SMS, notificación en el programa y aplicación informática, sitio web u otros; y
e) establecer el plazo mínimo para la cancelación de los datos personales en soporte electrónico, el cual no debe ser mayor a lo dispuesto en la legislación vigente en la materia.
Artículo 9.
1. Los datos personales en soporte electrónico se pueden utilizar con objetivos académicos, investigativos o sociales, con técnicas de análisis de datos, siempre que sean anonimizados o disociados y su recolección solo incluya los datos mínimos necesarios para cumplir su propósito.
2. El intercambio de información para la realización de estos objetivos se debe realizar de manera contractual entre el responsable de la base de datos y el que utiliza los datos, y cumplir lo establecido en la presente Resolución.
3. El intercambio de los datos anonimizados o disociados con otra entidad para utilizarlos con los objetivos expresados en el apartado 1 de este artículo, se realiza sin interés comercial.
Artículo 10.
Los titulares de datos personales en soporte electrónico que sean usuarios de servicios públicos de telecomunicaciones, programas y aplicaciones informáticas, y de redes sociales y servicios de Internet ofrecidos por entidades nacionales, tienen los derechos siguientes:
a) Conocer el propósito para el cual son solicitados sus datos y el uso que se les da a estos;
b) acceder, actualizar y cancelar, en el momento en que estos lo consideren, los datos personales facilitados para el uso del servicio;
c) que sus datos sean cancelados cuando así lo estimen conveniente, se haya cumplido el propósito para el cual fueron recopilados o cuando consideren que se están tratando de forma que vulnere sus intereses y derechos; y
d) ser informados sobre las opciones de configuración de privacidad disponibles que les permita determinar cómo su información es tratada, compartida y almacenada.
DISPOSICIONES FINALES
PRIMERA:
La Dirección General de Informática, la Dirección de Inspección y las oficinas territoriales de Control del Ministerio de Comunicaciones quedan encargadas, según corresponda, de controlar el cumplimiento de lo dispuesto en la presente Resolución.
SEGUNDA:
La presente Resolución entra en vigor a los 180 días posteriores de su publicación en la Gaceta Oficial de la República de Cuba.
NOTIFÍQUESE al Director General de Informática, a la Directora de Inspección y los directores territoriales de Control del Ministerio de Comunicaciones.
COMUNÍQUESE a los viceministros, al Director General de Comunicaciones, al Director de Regulaciones, todos del Ministerio de Comunicaciones.
PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.
ARCHÍVESE el original en la Dirección Jurídica del Ministerio de Comunicaciones.
DADA en La Habana, a los 19 días del mes de agosto de 2022.
Wilfredo González Vidal, Viceministro Primero